Académique Documents
Professionnel Documents
Culture Documents
Todas las direcciones IPv4 públicas que se usan en Internet deben registrarse en un registro
regional de Internet (RIR). Las organizaciones pueden arrendar direcciones públicas de un
proveedor de servicios. El titular registrado de una dirección IP pública puede asignar esa
dirección a un dispositivo de red.
Con un máximo teórico de 4300 millones de direcciones, el espacio de direcciones IPv4 es muy
limitado. Cuando Bob Kahn y Vint Cerf desarrollaron por primera vez la suite de protocolos
TCP/IP que incluía IPv4 en 1981, nunca imaginaron en qué podría llegar a convertirse Internet.
En aquel entonces, la computadora personal era, en la mayoría de los casos, una curiosidad
para los aficionados, y todavía faltaba más de una década para la aparición de la World Wide
Web.
No existen suficientes direcciones IPv4 públicas para asignar una dirección única a cada
dispositivo conectado a Internet. Las redes suelen implementarse mediante el uso de direcciones
IPv4 privadas, según se definen en RFC 1918. En la figura 1, se muestra el rango de direcciones
incluidas en RFC 1918.
Estas direcciones privadas se utilizan dentro de una organización o un sitio para permitir que los
dispositivos se comuniquen localmente. Sin embargo, como estas direcciones no identifican
empresas u organizaciones individuales, las direcciones privadas IPv4 no se pueden enrutar a
través de Internet. Para permitir que un dispositivo con una dirección IPv4 privada acceda a
recursos y dispositivos fuera de la red local, primero se debe traducir la dirección privada a una
dirección pública.
Sin NAT, el agotamiento del espacio de direcciones IPv4 habría ocurrido mucho antes del año
2000.
¿Qué es NAT?
NAT tiene muchos usos, pero el principal es conservar las direcciones IPv4 públicas. Esto se
logra al permitir que las redes utilicen direcciones IPv4 privadas internamente y al proporcionar
la traducción a una dirección pública solo cuando sea necesario. NAT tiene el beneficio adicional
de proporcionar cierto grado de privacidad y seguridad adicional a una red, ya que oculta las
direcciones IPv4 internas de las redes externas.
Los routers con NAT habilitada se pueden configurar con una o más direcciones IPv4 públicas
válidas. Estas direcciones públicas se conocen como “conjunto de NAT”. Cuando un dispositivo
interno envía tráfico fuera de la red, el router con NAT habilitada traduce la dirección IPv4 interna
del dispositivo a una dirección pública del conjunto de NAT. Para los dispositivos externos, todo
el tráfico entrante y saliente de la red parece tener una dirección IPv4 pública del conjunto de
direcciones proporcionado.
En general, los routers NAT funcionan en la frontera de una red de rutas internas. Una red de
rutas internas es aquella que tiene una única conexión a su red vecina, una entrada hacia la red
y una salida desde ella. En el ejemplo de la ilustración, el R2 es un router de frontera. Visto desde
el ISP, el R2 forma una red de rutas internas.
Cuando un dispositivo dentro de la red de rutas internas desea comunicarse con un dispositivo
fuera de su red, el paquete se reenvía al router de frontera. El router de frontera realiza el proceso
de NAT, es decir, traduce la dirección privada interna del dispositivo a una dirección pública,
externa y enrutable.
Nota: la conexión al ISP puede utilizar una dirección privada o pública compartida entre clientes.
A los fines de este capítulo, se muestra una dirección pública.
Terminología de NAT
Según la terminología de NAT, la red interna es el conjunto de redes sujetas a traducción. La red
externa se refiere a todas las otras redes.
Al utilizar NAT, las direcciones IPv4 se designan de distinto modo, según si están en la red
privada o en la red pública (Internet), y si el tráfico es entrante o saliente.
Al determinar qué tipo de dirección se utiliza, es importante recordar que la terminología de NAT
siempre se aplica desde la perspectiva del dispositivo con la dirección traducida:
Dirección interna: la dirección del dispositivo que se traduce por medio de NAT.
NAT también usa los conceptos de local o global con relación a las direcciones:
Los términos “interna” y “externa” se combinan con los términos “global” y “local” para hacer
referencia a direcciones específicas. En la ilustración, el router R2 se configuró para proporcionar
NAT. Este tiene un conjunto de direcciones públicas para asignar a los hosts internos.
Dirección local externa: la dirección del destino vista desde la red interna. En este
ejemplo, la PC1 envía tráfico al servidor web en la dirección IPv4 209.165.201.1. Si bien
es poco frecuente, esta dirección podría ser diferente de la dirección globalmente
enrutable del destino.
En la ilustración, se muestra cómo se dirige el tráfico que se envía desde una computadora
interna hacia un servidor web externo a través del router con NAT habilitada. También se muestra
cómo se dirige y se traduce inicialmente el tráfico de retorno.
En este ejemplo, la PC1 con la dirección privada 192.168.10.10 desea comunicarse con un
servidor web externo con la dirección pública 209.165.201.1.
La PC1 envía un paquete dirigido al servidor web. El R1 reenvía el paquete al R2.
Cuando el paquete llega al R2, el router con NAT habilitada para la red, el R2 lee la dirección
IPv4 de origen del paquete para determinar si este cumple con los criterios especificados para la
traducción.
En este caso, la dirección IPv4 de origen cumple con los criterios y se traduce de 192.168.10.10
(dirección local interna) a 209.165.200.226 (dirección global interna). El R2 agrega esta
asignación de dirección local a global a la tabla de NAT.
El servidor web responde con un paquete dirigido a la dirección global interna de la PC1
(209.165.200.226).
NAT estática
La NAT estática consiste en una asignación uno a uno entre direcciones locales y globales. Estas
asignaciones son configuradas por el administrador de red y se mantienen constantes.
En la ilustración, el R2 se configuró con las asignaciones estáticas para las direcciones locales
internas del Svr1, la PC2 y la PC3. Cuando estos dispositivos envían tráfico a Internet, sus
direcciones locales internas se traducen a las direcciones globales internas configuradas. Para
las redes externas, estos dispositivos tienen direcciones IPv4 públicas.
La NAT estática resulta útil, en especial para los servidores web o los dispositivos que deben
tener una dirección constante que sea accesible tanto desde Internet, como desde el servidor
web de una empresa. También es útil para los dispositivos a los que debe poder acceder el
personal autorizado cuando no está en su lugar de trabajo, pero no el público en general en
Internet. Por ejemplo, un administrador de red puede acceder a la dirección global interna del
Svr1 (209.165.200.226) desde la PC4 mediante SSH. El R2 traduce esta dirección global interna
a la dirección local interna y conecta la sesión del administrador al Svr1.
La NAT estática requiere que haya suficientes direcciones públicas disponibles para satisfacer la
cantidad total de sesiones de usuario simultáneas.
NAT dinámica
La NAT dinámica utiliza un conjunto de direcciones públicas y las asigna según el orden de
llegada. Cuando un dispositivo interno solicita acceso a una red externa, la NAT dinámica asigna
una dirección IPv4 pública disponible del conjunto.
En la ilustración, la PC3 accede a Internet mediante la primera dirección disponible del conjunto
de NAT dinámica. Las demás direcciones siguen disponibles para utilizarlas. Al igual que la NAT
estática, la NAT dinámica requiere que haya suficientes direcciones públicas disponibles para
satisfacer la cantidad total de sesiones de usuario simultáneas.
Traducción de la dirección del puerto (PAT)
La traducción de la dirección del puerto (PAT), también conocida como “NAT con sobrecarga”,
asigna varias direcciones IPv4 privadas a una única dirección IPv4 pública o a algunas
direcciones. Esto es lo que hace la mayoría de los routers domiciliarios. El ISP le asigna una
dirección al router, pero varios miembros de la familia pueden acceder a Internet
simultáneamente. Esta es la forma más común de NAT.
Con PAT, se pueden asignar varias direcciones a una o más direcciones, debido a que cada
dirección privada también se rastrea con un número de puerto. Cuando un dispositivo inicia una
sesión TCP/IP, genera un valor de puerto de origen TCP o UDP o un ID de consulta asignado
especialmente para ICMP, con el fin de identificar la sesión sin posibilidad de ambigüedades.
Cuando el router NAT recibe un paquete del cliente, utiliza su número de puerto de origen para
identificar de forma exclusiva la traducción NAT específica.
PAT garantiza que los dispositivos usen un número de puerto TCP distinto para cada sesión con
un servidor en Internet. Cuando llega una respuesta del servidor, el número de puerto de origen,
que se convierte en el número de puerto de destino en la devolución, determina a qué dispositivo
el router reenvía los paquetes. El proceso de PAT también valida que los paquetes entrantes se
hayan solicitado, lo que añade un grado de seguridad a la sesión.
A medida que el R2 procesa cada paquete, utiliza un número de puerto (1331 y 1555, en este
ejemplo) para identificar el dispositivo en el que se originó el paquete. La dirección de origen (SA)
es la dirección local interna a la que se agregó el número de puerto TCP/IP asignado. La dirección
de destino (DA) es la dirección local externa a la que se agregó el número de puerto de servicio.
En este ejemplo, el puerto de servicio es 80, que es HTTP.
Para la dirección de origen, el R2 traduce la dirección local interna a una dirección global interna
con el número de puerto agregado. La dirección de destino no se modifica, pero ahora se la
denomina dirección IPv4 global externa. Cuando el servidor web responde, se invierte la ruta.
Siguiente puerto disponible
En el ejemplo anterior, los números de puerto del cliente, 1331 y 1555, no se modificaron en el
router con NAT habilitada. Esta no es una situación muy probable, porque existe una gran
posibilidad de que estos números de puerto ya se hayan conectado a otras sesiones activas.
PAT intenta conservar el puerto de origen inicial. Sin embargo, si el puerto de origen inicial ya
está en uso, PAT asigna el primer número de puerto disponible desde el comienzo del grupo de
puertos correspondiente de 0 a 511, 512 a 1023 o 1024 a 65 535. Cuando no hay más puertos
disponibles y hay más de una dirección externa en el conjunto de direcciones, PAT avanza a la
siguiente dirección para intentar asignar el puerto de origen inicial. Este proceso continúa hasta
que no haya más puertos ni direcciones IPv4 externas disponibles.
Esto resulta aceptable para la dirección interna, porque los hosts tienen direcciones IPv4 privadas
únicas. Sin embargo, en el router NAT, se deben cambiar los números de puerto; de lo contrario,
los paquetes de dos hosts distintos saldrían del R2 con la misma dirección de origen. En este
ejemplo se supone que los primeros 420 puertos en el intervalo 1024-65 535 ya se encuentran
en uso, por lo que se utiliza el siguiente número de puerto disponible: 1445.